CN104641375B - 在医疗装置及其远程装置之间安全的通信 - Google Patents
在医疗装置及其远程装置之间安全的通信 Download PDFInfo
- Publication number
- CN104641375B CN104641375B CN201380036557.4A CN201380036557A CN104641375B CN 104641375 B CN104641375 B CN 104641375B CN 201380036557 A CN201380036557 A CN 201380036557A CN 104641375 B CN104641375 B CN 104641375B
- Authority
- CN
- China
- Prior art keywords
- key
- mcu
- wireless network
- remote control
- medical treatment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16H—HEALTHCARE INFORMATICS, i.e. INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR THE HANDLING OR PROCESSING OF MEDICAL OR HEALTHCARE DATA
- G16H40/00—ICT specially adapted for the management or administration of healthcare resources or facilities; ICT specially adapted for the management or operation of medical equipment or devices
- G16H40/60—ICT specially adapted for the management or administration of healthcare resources or facilities; ICT specially adapted for the management or operation of medical equipment or devices for the operation of medical equipment or devices
- G16H40/67—ICT specially adapted for the management or administration of healthcare resources or facilities; ICT specially adapted for the management or operation of medical equipment or devices for the operation of medical equipment or devices for remote operation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
- G06F21/35—User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
-
- G—PHYSICS
- G08—SIGNALLING
- G08C—TRANSMISSION SYSTEMS FOR MEASURED VALUES, CONTROL OR SIMILAR SIGNALS
- G08C17/00—Arrangements for transmitting signals characterised by the use of a wireless electrical link
- G08C17/02—Arrangements for transmitting signals characterised by the use of a wireless electrical link using a radio link
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/50—Secure pairing of devices
-
- A—HUMAN NECESSITIES
- A61—MEDICAL OR VETERINARY SCIENCE; HYGIENE
- A61M—DEVICES FOR INTRODUCING MEDIA INTO, OR ONTO, THE BODY; DEVICES FOR TRANSDUCING BODY MEDIA OR FOR TAKING MEDIA FROM THE BODY; DEVICES FOR PRODUCING OR ENDING SLEEP OR STUPOR
- A61M5/00—Devices for bringing media into the body in a subcutaneous, intra-vascular or intramuscular way; Accessories therefor, e.g. filling or cleaning devices, arm-rests
- A61M5/14—Infusion devices, e.g. infusing by gravity; Blood infusion; Accessories therefor
- A61M5/142—Pressure infusion, e.g. using pumps
- A61M5/14244—Pressure infusion, e.g. using pumps adapted to be carried by the patient, e.g. portable on the body
- A61M5/14248—Pressure infusion, e.g. using pumps adapted to be carried by the patient, e.g. portable on the body of the skin patch type
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2149—Restricted operating environment
-
- G—PHYSICS
- G08—SIGNALLING
- G08C—TRANSMISSION SYSTEMS FOR MEASURED VALUES, CONTROL OR SIMILAR SIGNALS
- G08C2201/00—Transmission systems of control signals via wireless link
- G08C2201/60—Security, fault tolerance
- G08C2201/61—Password, biometric
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/88—Medical equipments
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Abstract
本发明包括医疗组件,其由以安全的无线方式通信的医疗装置和遥控器组成。遥控器连接到至少一个安全令牌。存储在医疗装置和安全令牌中的密钥信息用于建立安全方式的连接和通信。
Description
技术领域
本发明涉及医疗装置(例如但不限于传送装置(例如,胰岛素泵)和/或无线传感器(例如,动态血糖计)和/或可植入装置和/或采样装置)的遥控器。
背景技术
需要通过遥控器来控制某些医疗装置(例如,像贴附式泵那样既轻又小的胰岛素泵),这是因为患者很难看到位于泵本身上的显示器的内容。现在的大多数泵都使用专用的专有遥控器,该专有遥控器代表了具有所有缺点的另一个装置,产生的缺点如下:
·需要找到一个口袋以将其放到安全的地方,并可快速、方便的找到它
·不能忘记你的遥控器
·要考虑给它充电或具有备用电池
·要防止其由于跌落或任何“恶劣”外部条件(如暴晒或暴露在沙子中)而造成的损耗。
一种防止使用另一个特定装置的方法是将遥控器的功能集成到患者应当已经携带的现有装置中,例如但不限于血糖仪或手机,其将具有集成遥控器特征所需的所有性能。
利用手机实现该目的是非常有吸引力的,但带来了很多安全方面的问题,必须在允许将其用于编程胰岛素泵之前解决这些问题。必须确保的重要的安全特征是:
·显示给用户的数据的完整性
·发送给胰岛素泵的命令的完整性
·存储患者的治疗参数以及输液历史和事件的日志的数据库的完整性和保护
·将医疗装置和其遥控器进行安全配对
·随时对软件作出响应(例如:当另一个软件具有焦点并且能够处理用户的请求而其他任务使资源(如MCU等)过载时报警)。
为了确保无线通信的安全,现有的装置使用认证进程,其中,装置以不安全的或者不充分安全的方式共享密钥。该认证进程可以使用如在手机中使用的智能卡,美国专利申请(US2010/045425、US2005/204134、US2008/140160和US2011/197067)公开了包括用于可信第三方和/或用于认证进程的令牌。特别地,所述令牌用于认证具有令牌的患者是具有相关医疗装置的患者。另外,所有的所述产品都以下述方式交换它们的加密密钥和/或使用标准的配对进程:黑客能够找到管理医疗装置的数据。
发明内容
本申请要求于2012年10月26日以Debiotech的名义提交的PCT/IB2012/055917的优先权以及2012年7月9日以Debiotech的名义提交的EP12175498.0的优先权的权益,通过引用的方式,将其所有的公开合并到本文中。
本发明的目的是提供鲁棒环境以确保医疗装置及其遥控器之间的通信安全。在本文中,表述“以确保通信安全”必须理解为用于确保下述内容的所有方式:
-遥控器和医疗装置之间的数据交换是正确的,和/或
-已经由授权的操作者(例如,患者,也称作用户)发送所述数据,和/或
-使用的装置是正确的装置,和/或
-已经正确地接收所述数据。
因此,为了确保通信安全,所述方法可以检查数据或应用程序或操作系统的完整性和/或可以加密数据和/或安全的配对,和/或可以检查操作者的身份…。为此,本发明包括由医疗装置和遥控器组成的医疗组件,其中,所述安全部件可以是:
-嵌入到(已经插入)遥控器的附加微控制器(MCU),
-可以包括到遥控器或属于医疗装置的附加微控制器中的虚拟化平台,
-特定的回环进程,
-检查完整性的方法,
-特定的配对进程,
-生成和/或共享密钥的方法。
使用所述不同的部件允许极大地提高安全性,但是可以只使用一种或两种上述部件。
所述遥控器可以用于管理和/或监控至少一个医疗装置,例如但不限于输送装置和/或无线传感器和/或可移植装置和/或采样装置和/或血糖监测计…。优选地,所述遥控器的设计便于携带并且可以是轻便的、可移动、可装到口袋里…。
所述医疗装置包括允许与所述遥控器无线通信的通信部件、包括用于建立连接和/或确保通信安全的密钥信息的内部存储器。优选地,所述医疗装置只与一个包括存储器的微控制器(MCU)配对,所述存储器包括所述密钥信息(例如,链路密钥、加密密钥、散列…)。所述MCU被设计为插入到遥控器。在本文中,“插入”可以由“嵌入”或“连接到”代替。可以在有接触或没有接触情况下通过有线连接或无线连接来执行遥控器和MCU之间的通信。
因此,医疗组件使用可以插入到遥控器中的MCU。适于建立医疗装置和遥控器之间的安全通信的所述组件包括:
·遥控器,其包括:
○用于允许与所述医疗装置进行无线通信的通信部件,
○用于插入附加微控制器(MCU)的连接部件;
○显示部件(可选),
○至少一个输入部件,
○至少一个处理器,其连接到通信部件、连接部件、输入部件和可选的显示部件;以及
·医疗装置,其包括:
○用于允许与所述遥控器进行无线通信的通信部件,
○存储器;
·MCU,其被设计为连接到所述遥控器;所述MCU进一步可以包括存储器;
所述医疗装置的存储器和所述MCU的存储器包括用于建立和/或确保通信安全的至少部分密钥信息。所述密钥信息包括至少一部分共享密钥。至少一个医疗装置专门与唯一一个MCU配对。在一个实施例中,在患者使用之前,执行医疗装置和MCU之间的配对。
在一个实施例中,通过无线通信执行MCU和遥控器之间的连接。
在本文中,微控制器(MCU)可以是插入到遥控器的集成芯片或者插入到遥控器的外部装置。通常,MCU包括CPU、RAM、某些形式的ROM、I/O端口和计时器。与包括其他部件的计算机和遥控器不同,针对非常特定的任务(例如,控制特定系统)设计微控制器(MCU)。因此,可以简化并缩减MCU,这降低了生产成本。MCU还可以集成特定功能以保护其存储器中的内容(例如,窜改的封缄、封锁、篡改响应和清零开关)。另外,所述MCU不带有另一个CPU和存储器,(遥控器的)操作系统可以使用所述CPU和存储器来改进遥控器的性能,但是其具有其他功能,特别地,更加安全,特别地,至少部分共享密钥通过配对进程或其他进程生成。MCU和遥控器的CPU不同并且具有不同的任务。在本发明中,MCU与遥控器完全独立,通过这种方式,MCU可以与不同的遥控器一起使用。所述MCU可以是智能卡、SIM卡、诸如SDIO(安全数字输入输出)卡的SD卡、内部或外部软件狗…。在本文中,我们可以等价地使用下述术语:外部或内部微控制器、附加微控制器或MCU。
在一个实施例中,所述医疗装置和所述MCU包括存储器,所述存储器包含无线通信配置(链路密钥、医疗装置的地址(例如,蓝牙地址),…)。通过这种方式,所述装置和所述MCU提前知道合适的配置。特别地,所述MCU可以包括用于将遥控器连接到医疗装置以保护所述通信的密钥信息(例如,链路密钥,…),通过这种方式,不需要以不安全的方式(例如,通过蓝牙)提供连接,或者用户(例如,患者)不必执行特定任务来将遥控器与医疗装置配对。
优选地,医疗装置只与一个MCU配对,并且所述MCU嵌入到遥控器;通过这种方式,只有包括所述MCU的遥控器可以管理和/或监视所述医疗装置。此外,当患者知道嵌入所述MCU的遥控器是可以管理和/或监视医疗装置的单个遥控器时,还可以交换遥控器。
在一个实施例中,遥控器管理和/或监视至少两个医疗装置。在这种情况下,所述医疗装置可以只与一个MCU配对,备选地,每个医疗装置与其自己的MCU配对。
在一个实施例中,所述MCU包括用于将所述医疗组件与医疗服务器连接的密钥信息(患者标识符、医疗服务器的标识符和地址、加密密钥…)。在该实施例中,医疗组件可以使用遥控器的数据通信部件将接收到的数据发送到医疗服务器。因此,所述MCU可以包括建立一个或多个医疗装置和/或医疗服务器之间的通信并确保通信安全的所有信息,例如但不限于用户认证、加密参数…。
在一个实施例中,MCU可以在其存储器中存储医疗装置发送的至少一组数据或者遥控器或其他装置提供的其他组数据。在另一个实施例中,加密所述数据并将其存储到远程装置或医疗装置,但是只有MCU(或医疗装置)包括解密所述数据的密钥。
为了提高安全性,由制造商、医生、护理者或药剂师生成所述密钥信息并在患者使用之前将其记录到所述存储器中。
在一个遥控器使用虚拟平台的实施例中,在遥控器中并入了虚拟化平台,所述虚拟化平台包括:
·主机操作系统(hOS),其模拟用于至少一个客户操作系统(gOS)的硬件部件模拟,
·第一gOS处理共用功能,例如但不限于日历或联系人,所有的这些共用功能被设计为在非受控环境中使用,
·医疗操作系统(mOS),其处理用于医疗装置的遥控器,所有的这些遥控器的功能被设计为在受控环境中使用。所述mOS可以是特定的gOS。
在本文中,必须将表述“主机操作系统”理解为尽可能薄的操作系统,例如,增强的系统管理程序,其单独管理并共享所有遥控器的外围设备,例如,RAM、闪存、UART、Wifi…。hOS不处理共用功能,其目的是确保将命令安全地发送到医疗装置。
在一个实施例中,MCU(如上文公开的)插入到遥控器中,但是所述hOS不需要管理并共享所述MCU的外围设备。在一个实施例中,MCU包括用于检查每个操作系统的完整性的部件或数据。
在本文中,必须将表述“客户操作系统”理解为处理共用功能(电话、发送数据、日历…)的标准操作系统(例如但不限于安卓、苹果的iOS)或特定操作系统(例如,医疗操作系统)。所述不同的客户操作系统可以在同一个遥控器中共存并且相互之间完全的隔离开。
在本文中,必须将表述“受控环境”理解为下述空间,其中:
·预期的应用程序的响应是确定的
·软件包和操作系统的列表和版本是已知的,并且用户不能改变
·控制并确保对硬件部件的访问
·硬件部件(CPU、存储器、RF链路等)的响应是确定的
·预定的最小带宽通常可确保访问硬件部件(例如,CPU、网络RF链路等)
·运行并存储至少一个医疗应用程序和/或mOS。
受控环境和非受控环境完全分离。
在优选的实施例中,所述hOS不止是标准的系统管理程序。尽管所述hOS尽可能的薄,但是其包括某些操作进程以拒绝某些应用程序(在受控环境或非受控环境中运行的)或者给医疗OS一些优先权。因此,当受控环境启动或当受控环境的全部或部分应用程序在运行时,hOS可以停止在受控环境中运行的全部或部分应用程序。例如,即使电话接收到消息,hOS也只显示医疗应用。
因此,非受控环境对硬件和受控环境之间的交互没有可视性。有利的是,受控环境中的客户操作系统或应用程序(例如但不限于医疗操作系统和/或医疗应用程序)具有比其他系统或程序高的优先权。由此,主机操作系统决定阻碍在非受控环境中运行的应用程序,以避免该应用程序所导致的任何干扰。主机操作系统还可以决定受控或非受控环境中的哪个应用将聚焦在屏幕上。
在一个实施例中,根据本发明的遥控器是手机(例如,智能手机)。可以使用任何合适的操作系统,例如,安卓系统。遥控器与医疗装置结合使用。有利的是,将遥控器功能设计为胰岛素泵的遥控器。
如上所述,所述MCU还可以用于认证或确保hOS的完整性,或用于存储优先级较高(反之亦然)的应用程序列表,或用于存储当某些应用程序正在运行或没有运行,或满足某个条件等等时所执行的不同的方案。
在医疗组件的另一个实施例中,所述组件有利地包括至少两个对象(例如,胰岛素泵和遥控器)之间的回环机制。回环的一般概念是这样一种机制:通过该机制,在消息或信号结束后,将其发送回(回环)到其开始的地方。
在本文中,回环机制不是对用户输入的数据进行简单的确认。例如,标准回环机制由询问用户是否确认命令的装置使用。在这种标准的情况下,回环是用户和装置之间的。
新的回环机制允许对遥控器发送且由医疗装置接收的数据进行确认。因此,用户在遥控器中输入命令(利用输入装置),并且遥控器通过安全的通信将其发送到医疗装置。由于所述机制,如果接收到的命令是用户发送的命令,那么在启动命令之前,医疗装置必须请求进行确认。医疗装置向遥控器发送由遥控器显示的数据。所述数据可以是挑战码或加密数据或其他。当用户向医疗装置确认时,启动所述命令。有利的是,为了提高安全性,用户必须输入PIN码以对命令进行确认。
通过将附加的受保护的MCU像智能卡、SIM卡或SD卡等那样插入到遥控器,可以有利的保护回环机制和与医疗装置的连接的安全,其中,MCU可以加密或解密用于回环的数据。
遥控器或MCU(例如,外部软件狗)或医疗装置可以包括用于以安全的方式发送信息给患者的附加部件(例如:LED、振动器、显示部件…)。例如,外部MCU可以在其自己的显示部件上显示数据。
本发明提供下述至少一个优点:
-本发明还提供受控环境,其中,通过低级别操作系统架构的核心设计,保证了响应性、完整性和安全性。
-提出的方案提供了安全的环境,其可以例如防止任何不希望的应用程序,该应用程序可以通过改变治疗(如安排多个患者不希望的附加输注)模拟正常使用。
-使用MCU,所述MCU作为智能卡独立于遥控器,其允许在配对进程期间使另一个装置不可见的情况下,自动且安全地将遥控器与医疗装置连接。
-使用MCU,其可以嵌入或插入到不同的遥控器(例如,手机),允许在遇到问题时(低电量、忘记或丢失遥控器…)更换遥控器。在这种情况下,用户可以保持她的医疗装置并且通过新的遥控器安全地对其进行访问,并且MCU可以确保记录到遥控器的存储器中的数据的私密性。
-使用回环进程,其允许确保编程到医疗装置(例如,胰岛素泵)中的数据对应于用户在遥控器上期望的数据。
-在换回进程结束时,用户优选地通过在遥控器上输入PIN码(只有用户知道),对值进行确认。使用所述PIN码确保了由正确的用户批准该确认。
-使用虚拟平台,确保了医疗应用或mOS优先并且安全的运行。
-hOS确保某些外围设备(MCU、LED、显示屏的一部分、振动器…)仅由医疗应用和/或mOS使用。
附图说明
下面通过下述附图示出的例子以更加详细的方式讨论本发明:
图1示出了根据本发明的遥控器(3)的显示器,其包括虚拟化平台。
图2示出了本发明的优选实施例的整体架构,即,包括遥控器(3)和医疗装置(1)的组件。
图3示出了根据本发明的回环机制。
图4示出了根据本发明的使用MCU的回环机制。
图5示出了医疗装置(1)与遥控器(3)通信,在所述遥控器(3)内部包括诸如智能卡(4)的MCU。
图6示出了医疗装置(1)与插入至MCU(6)的遥控器(3)通信。
图7示出了医疗装置(1)与插入至MCU(6)的遥控器(3)通信,所述遥控器(3)内部包括另一个MCU,例如,智能卡(4)。
图8示出了两个医疗装置(1、7)与插入至MCU(6)的遥控器(3)通信,所述遥控器(3)内部包括两个MCU,例如,智能卡(4a、4b)。
图9示出了两个医疗装置(1、7)与遥控器(3)通信,所述遥控器(3)内部包括两个MCU,例如,智能卡(4a、4b)。
图10示出了两个医疗装置(1、7)与遥控器(3)通信,所述遥控器(3)内部包括单个MCU,例如,智能卡(4c)。
图11示出了MCU(8)包含的结构。
图12示出了示出了两个医疗装置(1、7)与插入至MCU(6)的遥控器(3)通信,所述遥控器(3)内部包括另一个MCU,例如,智能卡(4b)。
图13示出了配对装置(16)。
图14示出了可以共享的至少一个密钥。
图15示出了可断开连接并且可用作小型遥控器的外部MCU(6)。
图16示出了包括第一显示部件(18)和至少一个安全显示部件(19)的遥控器(3)。
图17示出了根据本发明的会话密钥生成。
部件列表
1 医疗装置
2 无线通信
3 遥控器
4,4a,4b,4c 微控制器(例如,智能卡)
5 安全处理部件
6 外部MCU
7 另一个医疗装置
8 微控制器
9 CPU
10 微控制器的存储器
11 存储器的第一部分
12 存储器的第二部分
13 存储器的第三部分
14 存储器的第四部分
15 外部MCU的其他部件或特征
16 配对装置(16)
17 连接部件
18 第一显示部件
19 第二或安全显示部件(LED,…)
具体实施方式
在下文的详细描述中,参考形成说明书的一部分的附图,附图中以举例说明的方式示出了装置、系统和方法的多个实施例。应当理解的是,在不背离本公开的范围和精神的情况下,可以考虑并实现其他实施例。因此,下文的详细描述不是限制性的。
除非另有说明,本文使用的所有科学和技术术语都具有本领域通用的含义。本文提供的定义是为了便于理解本文频繁使用的某些术语并不意味着限制本公开的范围。
除非本公开的内容明确地表示并非如此之外,如本说明书和所附的权利要求书中使用的,单数形式“一”、“一个”和“该”包括具有复数对象的实施例。
如本文使用的“有”、“具有”、“包含”、“包括”或类似的表述是在它们开放式的意义上使用,并且通常表示“包括但不限于”。
除非本公开的内容明确地表示并非如此之外,如本说明书和所附的权利要求书所使用的,术语“或”的含义通常包括“和/或”。
如本说明书和所附的权利要求书所使用的,术语“节点”可用于代替以下术语:医疗装置、医疗服务器、BGM(血糖仪)、CGM(动态血糖监视器)、遥控器、手机…。
如本说明书和所附的权利要求书所使用的,术语“MCU”可用于表示以下术语:软件狗、内部MCU或外部MCU。
在独立权利要求中阐明本发明并描述本发明的特征,同时从属权利要求描述本发明的其他特征。
附加的微控制器(MCU)的特征
在优选的实施例中,提出一种适于建立医疗装置(1、7)和遥控器(3)之间的通信并确保通信安全的医疗组件,所述医疗组件包括:
·遥控器(3),包括:
○用于允许与所述医疗装置(1、7)进行无线通信(2)的通信部件,
○用于插入附加微控制器(MCU)(4、6、8)的连接部件;
○显示部件(可选),
○至少一个输入部件,
○至少一个连接到通信部件、连接部件、输入部件和可选的显示部件的处理器;以及
·医疗装置(1、7),包括:
○用于允许与所述遥控器(3)进行无线通信(2)的通信部件,
○存储器;
·被设计为连接到所述遥控器(3)的MCU(4、6、8);所述MCU(4、6、8)进一步包括存储器;
所述医疗装置(1、7)的存储器和所述MCU(4、6、8)的存储器包括用于建立通信并确保通信安全的密钥信息。
所述医疗装置(1、7)可以是传送装置(例如但不限于胰岛素泵)和/或无线传感器(可以测量患者的生理特性)和/或可植入装置和/或取样装置。
在一个实施例中,至少一个医疗装置(1、7)专门地只和一个MCU(4、6、8)配对。所述密钥信息可以全部或部分地存储到医疗装置和/或MCU的安全存储器中。在一个实施例中,MCU只以下述方式配对一次:MCU不能和另一个医疗装置配对。
所述遥控器可以是电话、血糖仪或包括用于插入所述MCU的连接部件的其他便携式装置。
遥控器(3)的处理器是遥控器的主计算单元。该处理器运行遥控器操作系统(OS)(或多个操作系统),并且访问所有的遥控器(3)外围设备,例如,RAM、闪存、UART、Wifi等。
MCU(4、4a、4b、4c、6、8)也包括运行其自己的操作系统和代码的处理器。该处理器访问MCU(4、4a、4b、4c、6、8)的内部外围设备(加密引擎、通信接口、密钥发生器等)。MCU(4、4a、4b、4c、6、8)的处理器可以访问遥控器(3)的全部或部分外围设备。MCU(4、4a、4b、4c、6、8)和遥控器(3)这两个装置之间仅有的交互是通过通信链路交换数据。遥控器(3)的处理器和MCU(4、4a、4b、4c、6、8)的处理器相互独立。遥控器(3)可以受限制的访问或者不能访问存储在MCU中的数据。因此,所述MCU(4、4a、4b、4c、6、8)可以插入到不同的遥控器并确保总体安全。
所述MCU(4、4a、4b、4c、6、8)可以是通用集成电路卡(例如智能卡、SIM卡、SD卡、SDIO卡…)或被设计为插入或嵌入遥控器或至少连接到遥控器(3)的连接部件的其他外部装置。
在图11公开的一个实施例中,MCU(4、4a、4b、4c、6、8)包括中央处理单元(CPU)(9)、设计为连接到遥控器的连接部件(17)和至少一个存储器(10),所述存储器(10)可以包括多个(例如,4个)不同部分:
-第一部分(11),其可由CPU和其他装置(例如,插入MCU的遥控器)读写,
-第二部分(12),其可由CPU读写,而其他装置只能写不能读,
-第三部分(13),其可由CPU读写,而其他装置只能读不能写,
-第四部分(14),其可由CPU读写,而其他装置不能读也不能写。
在如图5所示的一个实施例中,医疗装置(1)与遥控器(3)通信。所述遥控器(3)与可能已经与所述医疗装置(1)配对的MCU(4)连接。由于由所述MCU(4)和/或所述医疗装置启动并执行的安全处理部件(5),建立所述遥控器(3)和所述医疗装置(1)之间的通信(2)并确保通信安全。所述存储器包括用于建立与医疗装置或医疗服务器的通信以及确保通信安全的全部信息(密钥信息)。
在一个实施例中,密钥信息包括在特定的时间点能够在MCU和/或遥控器(3)中运行或不能运行的应用程序和/或软件列表。当遥控器(3)或MCU(4)正使用医疗应用程序或其他特定应用程序时,可以授权某些所述软件或应用程序同时运行或者停止。如果遥控器包括虚拟机,当医疗操作系统正被使用或当特定医疗应用程序正运行时,管理程序使用所述列表启动或停止(终止)不允许的应用程序和/或软件。所述MCU(4)可以包括当满足一定条件时执行的方案列表。
图6示出了插入到遥控器的外部MCU(6)。所述外部MCU(6)包括CPU、存储器(10)和连接部件(17),并且可以包括外壳。所述存储器包括用于确保医疗装置或医疗服务器的通信安全的全部信息。所述医疗装置可以已经与所述外部MCU(6)配对。由于由所述MCU(6)启动并执行的安全处理部件(5),建立所述遥控器(3)和所述医疗装置(1)之间的通信(2)并确保通信安全。所述医疗装置还可以使用全部或部分所述安全处理部件。
图5和图6的区别在于MCU。第一个MCU(图5中的MCU)是至少临时地插入到遥控器(3)的内部MCU(4)(如智能卡)。第二个MCU(图6中的MCU)是至少临时地插入到遥控器(3)的外部MCU(6)(如软件狗)。由于其设计,外部MCU(6)可以包括下文公开的其他特征或部件。
安全处理部件(5)可以使用:
-特定的配对进程和/或
-用于确保数据安全的加密密钥和/或
-检查遥控器的完整性的完整性测试和/或
-特定的回环机制和/或
-主机和安全操作系统
安全处理部件(5)需要密钥信息来建立通信并确保通信安全。其可以是链路密钥、地址(地址蓝牙…)、加密密钥、共享密钥、散列…。
在一个实施例中,MCU(4、6、8)以下述方式在其安全存储器中保存所述安全处理部件(5):所述遥控器(3)不访问所述安全处理部件(5)。在一个实施例中,医疗装置还包括用于(例如)处理加密通信的所述安全处理部件。
在一个实施例中,安全处理部件(5)可以使用:
·产生至少一个非对称密钥对和/或对称密钥的非对称密钥加密机制;
·产生至少一个对称密钥和/或非对称密钥的对称密钥加密机制;
·加密散列机制。
所述非对称密钥加密机制可以使用下述算法中的至少一个:Benaloh、Blum–Goldwasser、Cayley–Purser、CEILIDH、Cramer–Shoup、DH、DSA、EPOC、ECDH、ECDSA、EKE、ElGamal、GMR、Goldwasser–Micali、HFE、IES、Lamport、McEliece、Merkle–Hellman、MQV、Naccache–Stern、NTRUEncrypt、NTRUSign、Paillier、Rabin、RSA、Okamoto–Uchiyama、Schnorr、Schmidt–Samoa、SPEKE、SRP、STS、三段协议或XTR。
配对进程
本发明的一部分公开了特定的配对进程,其可以使用蓝牙协议(例如,“经典”蓝牙或蓝牙低功耗)和/或其他无线通信协议(大范围接口或短范围接口)。特别地,因为MCU已经与至少一个医疗装置配对好(至少,MCU包括至少一个医疗装置的配对信息),从而不需要用户进行特定的配对动作,所以遥控器和医疗装置之间的配对是用户友好的。另外,配对信息对用户来说是不可见的,这意味着第三方不能窃取或使用该配对信息,并且医疗装置可更便于运行配对进程,这保护该装置不进行未授权的连接,并可避免配对进程导致的过量的电池消耗。
本文解释了新的配对进程的优点以及与标准的蓝牙配对进程的差别。但是,新的进程和产品不限于蓝牙协议。
通常由装置用户手动发起蓝牙配对。当两个装置还没有配对时,通常首次触发蓝牙配对进程。所以,装置接收另一个装置的连接请求。为了进行蓝牙配对,两个装置之间必须交换密码。该密码或更直接的称为“口令”是两个蓝牙装置共享的密码。应当通过使用不同于蓝牙通道的另一个通信管道来交换该“口令”(通常显示给用户并由用户输入)。使用该“口令”以确保两个用户都同意相互配对。但是,如果黑客看到或侦听到该进程,他可以截取装置的连接并命令它…。在结束标准配对进程之后,产生两个装置共享的、用于建立装置之间的配对连接的链路密钥。蓝牙低功耗使用短效密钥和/或长效密钥而不使用链路密钥,但是为了简化本文,术语链路密钥也用于短效密钥和/或长效密钥。
因此,为了建立安全连接,装置需要以隐藏的方式共享密钥。该共享密钥仅需要由医疗装置及其遥控器知道。通过已经将这样的共享密钥并入两个装置中,将不需要交换密钥信息。然而,当患者更换他的遥控器时,旧遥控器不能与另一个新装置共享密钥,从而不能与医疗装置连接。
得益于本发明,遥控器和医疗装置之间的通信完全安全,并且共享密钥由医疗装置及其MCU安全的保存,其可以在多个遥控器(旧遥控器和新遥控器)之间转移。另外,其他装置永远不能发现医疗装置(1、7),并且医疗装置(1、7)不能与不具有所述MCU的装置连接。
为了提高安全性,在患者使用之前或者至少在将MCU插入到遥控器之前,执行医疗装置和MCU之间的配对。有利的是,可以仅由配对装置执行所述配对(医疗装置/MCU)和/或可以由制造商、医生、护理者或药剂师执行所述配对。由于所述配对,以安全的方式产生至少一个密钥并将其存储到医疗装置(1)和配对的MCU(4、6、8)中。例如,如果需要配对装置,可以通过有线通信执行配对进程。
医疗装置(1)具有地址(例如,蓝牙地址),将其存储到MCU(4、6、8)的存储器中,通过这种方式,即使标准蓝牙协议不能发现医疗装置,MCU仍然可以在无需交换可以由第三方破解的敏感信息的情况下,与所述医疗装置建立通信。
因此,MCU和医疗装置之间的配对允许共享全部或部分密钥。在配对期间,生成至少部分链路密钥并将其存储到医疗装置和MCU的存储器中。所述链路密钥可以包括共享密钥(例如,加密密钥…)和医疗装置的蓝牙地址。需要所述链路密钥来建立将来的无线通信。
遥控器可以通过下述方式读取存储在MCU(4、6、8)中的所述链路密钥:即使没有发现所述医疗装置,遥控器也可以与医疗装置配对。因此,遥控器(3)无需使用标准配对进程就可以启动连接(例如,蓝牙连接)。然后,其将所述参数转移到可以直接建立连接的蓝牙通信层。
因为在患者使用医疗装置之前,MCU已经与该医疗装置配对,所以患者必须先将知道链路密钥的所述MCU(4、6、8)插入到她的遥控器中,并且已经使用医疗组件。
有利的是,将链路密钥存储在MCU(8)的第三方(13)存储器中。所述第三方(13)是CPU可读写的,但是其他装置不能写但可读。因此,遥控器可以读取链路密钥但所述遥控器不能改变链路密钥。换句话说,MCU只能配对一次。
如上文公开的,配对装置(16)可用于执行配对进程。所述配对装置(16)包括两个连接部件,其中的一个连接部件用于连接医疗装置,而另一个连接装置用于连接MCU。当用户将医疗装置和MCU插入到配对装置(16)时,可以执行配对进程。由于该配对进程,医疗装置和MCU可以以真正安全的方式共享它们的密钥(例如,链路密钥)。配对装置可以包括用于执行MCU和医疗装置之间的安全数据交换的有线通信部件。因为配对装置可以拔出并插入多次,所以配对装置还可以用于多个遥控器。
在一个实施例中,所述MCU和/或医疗装置不能接收新的配对请求。
由于这种特定的配对进程,医疗装置容易并安全地连接到遥控器。一旦MCU和医疗装置配对成功,遥控器就必须读取存储在MCU中的参数(例如,链路密钥)并使用它。
MCU(4、6、8)和医疗装置(1、7)之间的配对包括下述步骤:
·提供MCU(4、6、8)和医疗装置(1、7)
·提供允许所述MCU(4、6、8)和所述医疗装置(1、7)之间通信的部件
·在所述MCU(4、6、8)和所述医疗装置(1、7)之间共享至少一个密钥。
所述至少一个密钥可以包括医疗装置地址、链路密钥和/或其他密钥。
所述用于共享全部或部分所述密钥信息的部件(例如,配对装置)可以包括输入部件、有线连接、显示部件和/或用于执行配对进程的部件(例如,应用程序…)。
遥控器(3)和医疗装置之间的配对包括下述步骤:
·提供医疗装置(1、7)、遥控器(3)和已经与所述医疗装置(1、7)配对的MCU(4、6、8)
·将所述MCU(4、6、8)插入到所述遥控器(3)中
·使用包括在所述MCU(4、6、8)的存储器和所述医疗装置的存储器中的配对数据,以连接医疗装置和遥控器(3)。
有利的是,所述MCU(4、6、8)和所述医疗装置(1、7)可以使用对连接进行认证加密机制和用于生成会话密钥或其他密钥的部件。
在一个实施例中,医疗装置可以包括用于临时连接所述MCU以执行配对进程的连接部件。
确保遥控器和医疗装置之间的通信安全
本文在上文中公开了允许以安全的方式执行配对进程的安全配对进程。可以单独使用该进程,但是为了进一步提高安全性,必须以安全的方式交换数据。
为了确保遥控器和医疗装置之间的安全通信,医疗装置可以使用至少一个加密密钥数据和/或回环机制。
加密密钥:
如上文所公开的,MCU(4、6、8)的存储器可以包括允许与医疗装置(1、7)安全通信的密钥信息(例如但不限于:通信配置、公钥、私钥、加密进程、链路密钥…),所述医疗装置(1、7)也部分或完全地知道所述密钥信息。没有所述密钥信息,就不可能连接到医疗装置(1、7)和/或加密/解密数据。
在一个实施例中,所述密钥信息包括至少一个加密密钥,通过这种方式,遥控器(3)和医疗装置(1、7)可以交换加密数据和/或对发送者进行认证。所述至少一个加密密钥可以是非对称密钥和/或对称密钥。这样,由MCU或遥控器对给定的数据进行加密,但是医疗装置(1、7)可以解密所述数据。反之亦然,医疗装置(1、7)可以将加密数据发送到遥控器(3),并且MCU或遥控器可以解密所述加密数据。
密钥生成器生成至少一个存储到MCU的存储器和/或医疗装置的存储器中的加密密钥。为了进一步提高安全性,所述至少一个加密密钥必须保密,并且只在MCU和医疗装置之间共享。
在一个实施例中,至少一个加密密钥是非对称密钥。密钥生成器生成存储到MCU的存储器中的私钥和将存储到医疗装置的存储器中的公钥。所述私钥可供遥控器或MCU使用,而所述私钥仅供医疗装置使用。因此,所述MCU的存储器包括私钥,并且所述医疗装置的存储器包括合适的公钥。有利的是,所述公钥由医疗装置保密并永远不会通过蓝牙与其他装置共享。
在一个实施例中,MCU保存密钥并且不与遥控器共享所述私钥,通过这种方式,当从遥控器移除MCU时(在使用具有MCU的所述遥控器之后),遥控器不能使用所述私钥,从而遥控器不能与医疗装置通信。有利的是,所述私钥存储在MCU的存储器的第二或第四部分(12、14),因此另一个装置不能读取所述私钥。在特定情况下,如果私钥仅存储在第四部分(14),私钥不能由另一个装置重写。医疗装置使用的公钥必须优选地由医疗装置秘密的保存。然而,如果黑客找到所述公钥,该黑客只解密遥控器发送的数据(例如,治疗、命令…)。与如果黑客找到私钥(存储在MCU的存储器中)相比,找到公钥的危险性低一些,这是因为在该特定情况下,黑客可以模拟遥控器并修改患者的治疗方案(例如,胰岛素输送…)。
在一个实施例中,密钥生成器生成至少两个非对称密钥(A和B)。私钥A存储在MCU中,并且合适的公钥A存储在医疗装置中。私钥A可以供遥控器和/或MCU使用,并且公钥A只可以供医疗装置使用。私钥B存储在医疗装置中,并且合适的公钥B存储在MCU中。公钥B可以供遥控器和/或MCU使用,并且私钥B只可以供医疗装置使用。因此,在该实施例中,医疗装置包括公钥A和私钥B,并且MCU包括公钥B和私钥A。所述公钥B和所述私钥A可以存储到MCU的存储器的(可写或不可写部分中的)不可读部分。因此,通信完全安全并且对发送者进行了认证。实际上,当医疗装置接收到利用公钥A解密的消息时,医疗装置辨别出特派员(遥控器),反之亦然,当遥控器接收到利用公钥B解密的消息时,遥控器辨别出特派员(医疗装置)。使用两个非对称密钥允许对发送者进行认证。
在一个实施例中,MCU(8)的CPU包括密钥生成器,其生成至少一个将被共享的加密密钥。所述CPU(9)还可以包括其他功能,例如,加密引擎…。例如,如图14所公开的,MCU(8)包括CPU(9),在CPU(9)中,执行生成器以生成至少一个密钥。该密钥可以是全部或部分密钥信息(链路密钥、加密密钥、散列…)。在图14中,生成了两个密钥并且都存储在MCU(8)的存储器(10)中。密钥1和密钥2可以是同样的、相关联的或不同的。密钥1保存在MCU的存储器(10)中并且密钥2与医疗装置(1)共享。在这种情况下,可将密钥1存储到MCU的存储器的第二和第四(优选的)部分,并且可将密钥2存储到MCU的存储器的第一或第三部分。因此,可以读取密钥2以将其发送到医疗装置。然后,可以删除MCU的存储器(10)中的密钥2。例如,可将公钥A存储到MCU的存储器的第一部分,这是因为必须要将所述密钥发送到医疗装置,在此之后,优选的是删除给定装置(例如,如下文描述的配对装置)上的所述密钥。可将链路密存储到MCU的存储器的第三部分,这是因为不应删除所述密钥。可以利用遥控器或特定装置(如图13所示的配对装置(16))来执行该进程。
在其他实施例中,在医疗装置内执行生成器。在另一个实施例中,医疗装置和MCU执行它们自己的生成器以生成至少部分密钥信息,其可以至少部分地在MCU和医疗装置之间共享。
在一个实施例中,由特定装置(例如,配对装置(16))执行或启动如上所描述的生成器。
可由制造商、医生、护理人员或药剂师启动生成器。
在生成密钥的进程期间或者之后,可将其他信息(例如,患者的特征、药物、治疗、养生、治疗安全性限制…)记录到MCU和/或医疗装置的存储器中。
在一个实施例中,为了确保与如本文所述的医疗组件的至少一个通信的安全,方法包括下述步骤:
-生成包括私钥和合适的公钥的非对称密钥
-将所述私钥存储到MCU的安全存储器中
-将所述合适的公钥存储到医疗装置的存储器中
-利用所述私钥加密数据A或利用所述公钥加密数据B
-将所述加密数据A传送到医疗装置或将所述加密数据B传送到遥控器
-利用所述私钥解密数据A或利用所述私钥解密数据B
可以通过有线通信来执行所述密钥交换,并在患者使用之前由配对装置启动所述密钥交换。可由密钥生成器执行密钥生成,密钥生成可以由MCU启动或在MCU中执行。
非对称密钥使用多个资源,并且优选地使用对称密钥。所以,可在会话通信的开始并在使用对称密钥(作为会话密钥)之后,使用非对称密钥。所述对称密钥可以是临时使用并定期改变的。
在一个实施例中,为了确保与如本文所述的医疗组件的至少一个通信的安全,方法包括下述步骤:
-建立遥控器和医疗装置之间的第一通信
-医疗装置生成协商值Vm
-将所述协商值Vm传送到遥控器
-将所述协商值Vm传送到MCU
-MCU计算会话密钥Ks和协商值Vrc
-MCU使用所述私钥至少对会话密钥和/或所述协商值Vrc进行加密
-将所述加密数据传送到遥控器
-将所述加密数据Vrc传送到医疗装置
-医疗装置使用所述公钥解密所述加密数据。
医疗装置还可以计算会话密钥。所述会话密钥可以是保密的或者可以使用所述会话密钥检查MCU生成的会话密钥。医疗装置可以使用所述加密数据和/或所述公钥对认证进行检查。
在图17示出的实施例中,为了确保两个不同节点之间的至少一个通信的安全,其中的一个节点包括令牌,方法包括下述步骤:
-提供两个不同的节点1和2。所述节点1可以包括加密密钥1、密钥生成器和加密引擎。所述节点2包括用于连接到所述令牌的部件,所述令牌可以包括加密密钥2、密钥生成器和加密引擎
-通过第一节点对第一通信进行初始化
-通过第一节点生成值V1
-利用密钥1加密所述值V1(可选)
-将所述(加密的)值V1发送到第二节点
-将所述(加密的)值V1发送到令牌
-利用密钥2解密所述值V1(可选)
-通过令牌生成值V2
-通过令牌利用值V1和V2生成会话密钥1
-利用密钥2加密所述值V2(可选)
-将所述(加密的)值V2发送到第二节点
-将所述(加密的)值V2发送到第一节点
-利用密钥1解密所述值V2(可选)
-通过第一节点利用值V1和V2生成会话密钥2
会话密钥1和2必须是同样的,以便以安全的方式对加密数据进行认证和交换。第一节点可以是医疗装置或医疗服务器,并且第二节点可以是遥控器。令牌可以在MCU中。加密密钥可以是非对称密钥或对称密钥。加密密钥1可以是公钥,并且加密密钥2可以是私钥。优选地,第一节点和/或第二节点可以通过视觉、声音提示和/或振动器提示患者现在以安全的方式进行通信。
在第一节点试图利用假令牌进行连接的情况下,由于加密密钥,所述令牌不能正确地解密值V1。因此,该令牌生成不同于会话密钥2的会话密钥1,并且该令牌不能与所述第一节点交换数据。
所以由于该进程,所述MCU和所述医疗装置永远不会在无线通信中交换任何密钥。在一个实施例中,所述会话密钥秘密地保存在令牌中,所述令牌包括利用所述会话密钥进行解密和加密的加密引擎。在另一个实施例中,所述令牌与第二节点共享会话密钥(令牌可以秘密地保存或还共享密钥2),并且所述第二节点包括利用所述会话密钥解密和加密的加密引擎。
回环机制
接下来的段落涉及包括回环机制的本发明的实施例。该特征通过为了确保根据本发明的组件和患者读取或输入的信息之间的网桥的安全,而考虑设置在遥控器内的之前公开的架构或类似的安全等级,可以提供医疗装置和遥控器之间的安全通信。图3和图4示出了根据本发明的遥控器(3)对回环机制的使用。
回环是确保操作者已经请求了在医疗装置(1、7)上执行的命令及其参数(认证)并且该命令及其参数对应于他所希望的(完整性)的机制。更准确的说,该机制首先确保在遥控器(3)和医疗装置(1、7)之间传输的信息没有由于意外(存储器故障、通信干扰)或主动(攻击、恶意软件)的原因而改变。另外,该机制确保用户确实已经请求了命令。通过下述任务完成这两个功能,所述任务例如但不限于:
-遥控器(3)将命令及其参数传送给医疗装置(1、7)。
-医疗装置(1、7)基于该命令及其参数生成挑战码,并将其返回给遥控器(3)。
-遥控器(3)从挑战码中提取信息并将其显示给用户进行确认。在一个实施例中,使用包括显示部件的外部MCU,可将所述信息显示到外部MCU的显示部件上。该信息包括医疗装置(1、7)接收到的命令及其参数。
-用户通过输入只有他知道的PIN,发出表示他批准和确认的信号。遥控器(3)利用PIN和挑战码本身生成对挑战码的响应。
-将该响应发送到医疗装置(1、7)并对他进行验证。只有对挑战码的响应是正确的,才真正的开始执行命令。
从用户使用的PIN仅用于验证挑战码-响应的特定情况的意义上来说,该机制不同于标准的“登陆”机制。在这种方式中,用户必须验证每个命令,从而在用户已经输入PIN码之后,恶意的应用程序就不能发送新命令。另外,另一个人不能由于失误或故意的原因而使用正确的遥控器或其他装置发送命令,这是因为用户是知道PIN码的唯一的人(优选)。
从显示给用户的信息以及向用户显示的请求用户批准的信息是目标装置返回的信息的意义上来说,该机制与仅重复向用户发送请求命令“你确定?”的机制也不同。如果已经发生任何改变,则该返回值将自动地不同于用户最初输入的信息。
所述确认不是由遥控器自动处理的,这样恶意应用程序就不能控制所述确认。仅由用户允许所述确认是至关重要的。在一个实施例中,回环机制使用PIN码确认发送的命令,并且只有用户知道所述PIN码。
优选地,创建医疗装置的存储器和遥控器上的安全缓冲器之间的直接安全通道,所述遥控器包括显示的值。然后,遥控器(3)上授权的应用程序显示所述值并记录用户认证,所述记录认证将用于构建返回给医疗装置的返回值。可以通过使用附加MCU内的密钥信息启动该安全通道。
当用户已经完成了定义他想在医疗装置上编程的参数时,打开安全通道。当用户确认了参数以便允许医疗装置使用它们时,关闭该安全通道。
根据本发明的回环进程包括实现下述组成部分:
·医疗装置中的安全存储区
·医疗装置中的安全进程,其管理医疗装置的安全存储区和遥控器之间数据的加密通信
·遥控器中的安全显示存储区
·遥控器上的安全进程,其管理医疗装置和遥控器的安全显示存储区之间数据的加密通信
·遥控器上的安全和授权进程,其将数据从安全显示存储区传送到遥控器的显示器并构建用户的确认票证。
图2示出了这些不同组成部分的架构。
当医疗装置已经接收到一组参数时,启动环路进程,这将改变治疗的设置或诸如报警设置的任何安全功能。
在图3示出的一个实施例中,不使用附加MCU,医疗组件(至少一个医疗装置和一个遥控器)包括:
○所述医疗装置中的存储器,其可以包括安全存储区,
○所述医疗装置中的安全处理部件(5),其管理所述安全存储区和远程装置之间数据通信的加密,
○遥控器中的安全存储区,
○遥控器中的安全处理部件(5),其管理医疗装置和所述存储区之间的数据的加密通信,
○遥控器上的安全和授权处理部件(5),其将数据从安全存储区传送到遥控器的显示器并构建用户的确认票证。
如果实施例不使用附加MCU,两个不同节点和用户之间的回环进程可以包括下述步骤:
·通过第一节点接收第二节点发送的命令
·将所述命令存储到第一节点的存储器
·通过第一节点利用加密密钥A加密所述命令
·将所述加密命令发送到第二节点
·通过第二节点接收所述加密命令
·通过第二节点利用加密密钥B解密所述加密命令
·在第二节点的显示部件上显示所述命令
·由用户检查命令
·由所述命令的用户利用第二节点的输入部件验证
·将所述验证发送到第一节点。
所述加密密钥A和B可以是同样的或相关联的。为了进一步提高安全性,该进程可进一步包括生成挑战码、PIN码、状态指示…。
因此,(图3示出的)详细的进程可以包括下述步骤:
●由医疗装置中的嵌入式软件执行
○将必须确认的参数写入到医疗装置的存储器中
○可选地,生成随机信息,通常称为挑战码
○打开医疗装置和遥控器之间的安全通道
○可选地,通过例如震动、声音、LED或通知患者的任何其他方式,指示用户医疗装置和遥控器处于回环模式
○将利用称为KP的加密密钥加密的参数和挑战码发送到遥控器。
●由遥控器中的软件实体1执行
○接收加密的参数和挑战码并将其写入到遥控器的安全存储区。
●由遥控器中的软件实体2执行
○利用称作KRC的密钥解密参数,KRC是与KP对应的密钥。这些密钥可以是对称的或非对称的。通过具有正确的对应密钥KRC,验证授权应用。
○在“摘要”页中显示解密参数。
○可选地,输入用户的PIN码。
○构建确认票证,所述确认票证将利用挑战码、密钥KRC和输入的PIN码确认接收了这些参数。
○将票证写入遥控器的安全存储区。
●由遥控器中的软件实体1执行
○将该票证发送回医疗装置。
●由医疗装置中的嵌入式软件执行
○可选地,计算期望的票证
○接收来自遥控器的确认票证并对其进行验证。
当验证了票证时,关闭回环进程,并且允许医疗装置使用更新的参数。为了提高安全通道的安全性,该基本进程可以更精细或作为更加复杂方案的一部分。
在一个实施例中,所述软件实体1和所述软件实体2是同一个软件实体,或者软件实体1可以是遥控器(3)中的嵌入式软件并且软件实体2可以是遥控器(3)中的授权应用程序。在另一个实施例中,由下文定义的主机操作系统运行所述软件实体1,并且由如下文所述的医疗操作系统运行软件实体2。
本领域技术人员将会理解有多种加密发送数据并生成所述票证的多种方法。本发明并不限于加密发送数据并生成所述票证的特定方法。
如果实施例使用附加MCU,两个不同节点和用户之间的回环进程可以包括下述步骤:
·通过第一节点接收第二节点发送的命令
·将所述命令存储到第一节点的存储器中
·通过第一节点利用加密密钥A加密所述命令
·将所述加密命令发送给第二节点
·通过第二节点接收所述加密命令
·将所述加密命令发送给MCU
·通过MCU接收所述加密命令
·通过MCU利用加密密钥B解密所述加密命令
·在第二节点的显示部件上显示所述命令
·由用户检查命令
·由所述命令的用户利用第二节点或MCU(如果该MCU是包括例如验证按钮的输入部件的外部MCU)的输入部件验证
·将所述验证发送给第一节点。
所述加密密钥A和B可以是同样的(对称)、相关联的(非对称)。为了进一步提高安全性,该进程可以进一步包括生成挑战码、PIN码、状态指示…。
因此,(图4)示出的详细的进程可以包括下述步骤的全部或部分:
●由医疗装置中的嵌入式软件执行
○将必须确认的参数写入到医疗装置的存储器中
○可选地,生成挑战码
○利用临时密钥Ks1加密所述参数
○可选地,通过例如震动、声音、LED或通知患者的任何其他方式,指示用户医疗装置和遥控器处于回环模式。在一个实施例中,所述MCU是包括用于将所述信息发送给用户的装置(MCU上的LED、显示部件、振动器…)的外部MCU
○将加密的参数和/或挑战码发送到遥控器
●由遥控器中的软件实体1执行
○将加密参数发送给MCU。
●由MCU中的嵌入式软件执行
○接收加密的参数和挑战码并将其写入到MCU的存储器。
○利用密钥Ks1解密参数。
○将解密的参数和挑战码发送到遥控器的存储器。
●由遥控器中的嵌入式软件执行
○在“摘要”页中显示解密参数。
○可选地,提示用户输入PIN码。
○构建确认票证,所述确认票证将利用挑战码(可选)、参数和输入的PIN码(可选)确认接收了这些参数。
○将票证写入遥控器的存储器。
○将所述票证发送给MCU。
●由MCU中的嵌入式软件执行
○接收所述票证并将其写入到MCU的安全存储区
○利用临时密钥Ks2加密所述票证
○将加密的票证发送回遥控器
●由遥控器中的嵌入式软件执行
○将加密的票证发送回医疗装置。
●由医疗装置中的嵌入式软件执行
○可选地,计算期望的票证
○接收来自遥控器的确认票证并对其进行解密和验证。
当验证了票证时,关闭回环进程并且允许医疗装置使用更新的参数。为了提高安全通道的安全性,该基本进程更精细或作为更加复杂方案的一部分。
在一个实施例中,为了防止任何应用程序模拟用户动作或截获该信息,可以在使用显示在遥控器上的随机阵列时输入PIN。例如,将以每次不同的随机的顺序显示数字(从0到9的5个数字),用户必将输入PIN码。在其他实施例中,可以用符号、图片、文字、必须重绘的表格代替所述PIN,并可以输入或复制所述PIN以验证命令,所有的意图都是为了保证有智能人正与显示器交互。
在另一个实施例中,可以通过另一个认证部件(例如但不限于指纹识别器、指纹视网膜…)改变PIN。必须只有用户知道或拥有该认证部件。
在一个实施例中,由如下文定义的主机操作系统运行遥控器中的所述嵌入式软件,并且由如下文所述的医疗操作系统运行或启动MCU中的所述嵌入式软件。
如果MCU是如图4或5所示的软件狗,并且如果所述软件狗包括用于向患者发送信息的部件,就可以将挑战码显示到其显示部件上。所述部件可以通知患者正在运行安全模式或操作系统或回环模式。
在一个实施例中,还可以加密挑战码。
在一个实施例中,密钥Ks1和Ks2可以是非对称密钥对或对称密钥或使用散列机制。
在一个实施例中,密钥Ks1和Ks2相同或不同。
在一个实施例中,用户必须输入PIN码以确认回环机制中的入口,该PIN码在随机显示的阵列上输入。
在一个实施例中,MCU是包括输入部件的外部MCU,通过这种方式,可利用所述输入部件输入PIN码或所述输入部件是指纹识别器。在另一个实施例中,所述指纹识别器是遥控器。
确保遥控器和医疗服务器之间的通信安全。
在一个实施例中,所述MCU(4、6、8)包括用于建立所述医疗组件和医疗服务器(例如,远程医疗)之间的通信和/或确保通信安全的密钥信息。通过这种方式,可以将全部或部分数据安全地传送到可以分析或存储所述数据的医疗服务器。
本文所描述的全部或部分功能部件可用于建立遥控器和医疗服务器之间的通信或医疗服务器和医疗装置之间的通信和/或确保通信安全,其中,遥控器可用作网关。
MCU的其他特征
在如图6、7、8和12所示的一个实施例中,可以认为外部MCU(6)是外部装置(例如,软件狗),或者外部MCU(6)就是外部装置(例如,软件狗)。
在一个实施例中,外部MCU(6)可用作简单的软件狗,并且如图7所示,所述外部MCU(6)可以包括用于连接到内部MCU(4)的附加的连接部件(15)。在该特定的情况下,软件狗(6)可用作遥控器(3)和内部MCU(4)之间的中间体或适配器。因此,不需要将全部或部分密钥信息或程序存储到所述软件狗(6)的存储器中。内部MCU(4)必须用于存储全部或部分其他密钥信息。例如,软件狗(6)可以包括检查操作系统、mOS或者由遥控器或将安装到遥控器(3)中的软件执行的应用程序的密钥信息。内部MCU(4)可以包括密钥信息,例如链路密钥、加密密钥…。
另外,如果患者更换他的遥控器(因为摔坏或电池故障),并且如果新遥控器不包括用于内部MCU(4)的合适的连接部件,具有该软件狗(6)就是有用的。因此,由于该外部MCU(6),遥控器(3)连接到内部MCU(4)。附加连接部件可以执行外部MCU(6)和遥控器(3)之间的有线或无线通信。
所述MCU(6)可以包括之前描述的全部元件和如下文所述的其他部件或特征(15)。
外部MCU(6)可以包括传感器,例如但不限于:
-血糖测量部件,通过这种方式,所述MCU(6)也可以用作如血糖监测,
-用于监视患者的活动的加速计…。
MCU(6)可以包括用于安全地显示数据的显示部件,通过这种方式,患者具有两个不同的显示部件,第一显示部件位于遥控器上,并且第二显示部件位于软件狗或外部MCU(6)上。因此,第一显示部件用于编程或监视医疗装置,并且第二显示部件可用于确认数据或接收并显示回环的全部或部分挑战码或其他信息。这样,遥控器上所需的安全等级可以最小化,这是因为患者将必须审阅MCU(6)的显示器所需的全部与安全相关的程序改变,在确认该程序改变以在医疗装置上执行之前,该程序改变信息是完全安全的。
该外部MCU(6)可以包括输入部件,其用于以安全的方式设置数据、输入PIN码或指纹识别器。所述输入部件还可以是用于在发送之前或在回环机制中使用之前对数据进行验证的验证按钮。
如图12所示,外部MCU(6)可以包括至少一个用于连接到另一个MCU(4)的连接部件。因此,外部MCU(6)可以已经与医疗装置(例如,输送装置)配对,并且插入到外部MCU(6)的内部MCU(4b)可以与另一个医疗装置(例如,血糖仪)配对。所述外部MCU存储第一医疗装置的密钥信息,并且所述内部MCU存储第二医疗装置的密钥信息。
如果外部MCU包括昂贵的其他部件(15)(例如传感器、通信部件、显示部件…),优选地使用具有附加的内部MCU(4)的简单软件狗(6)(如图7所示)。因为医疗装置只与一个MCU配对,所以当患者更换他的医疗装置时,他可以保持他的软件狗(6),同时他更换耦合的内部MCU(4)-医疗装置(1)。
在一个实施例中,所述MCU(6)可以包括通信部件,其在不需要依赖遥控器的情况下,安全地与医疗装置通信。在该实施例中,使用的遥控器可以是手机,这样的优点在于它的显示部件和/或可以为所述MCU供电。
在图15示出的一个实施例中,外部MCU(6)可以从遥控器(3)拔出并可用作光遥控器。例如,如果所述外部MCU(6)包括输入部件(15)和通信部件(15)(可选地,还可包括电源、显示部件…),无需遥控器,所述外部MCU就能至少部分地控制医疗装置。所述输入部件可用于支配药丸和/或中止模式和/或其他传送命令或模式。
在如图8和9示出的一个实施例中,两个医疗装置(1、7)与遥控器(3)通信。例如,第一医疗装置(1)是胰岛素泵(1),并且第二医疗装置(7)是动态血糖仪(7)。每个医疗装置仅与其自己的MCU(4a、4b)配对。如图8所示的实施例,其公开了插有外部MCU(6)的遥控器(3)。所述外部MCU(6)包括用于插入两个不同的内部MCU(4a、4b)的两个不同的连接部件。图9示出的实施例公开了遥控器(3),其内部包括用于插入两个不同的MCU(4a、4b)的两个不同的连接部件。第二MCU(4a)(或第三MCU(4b))包括安全存储器,所述安全存储器包含第一医疗装置(1)(或第二医疗装置(7))的密钥信息。所述第二MCU(4a)只与第一医疗装置(1)配对,并且所述第三MCU(4b)只与第二医疗装置(7)配对。该实施例可包括多个MCU和医疗装置。
在如图10所示的一个实施例中,两个医疗装置(1、7)与遥控器(3)通信,但是只有一个MCU(4c)插入到遥控器(3)中。对于该实施例来说,所述MCU(4c)与两个医疗装置(1、7)配对并且包括至少一个包含所述两个医疗装置(1、7)的密钥信息的安全存储器。
在一个实施例中,外部MCU(6)包括显示部件和/或输入部件。在外部MCU的显示部件上显示某些数据(例如,关键数据)和/或在医疗装置使用数据之前输入部件允许对所述数据进行验证。例如,遥控器允许为医疗装置编程命令,并且外部MCU允许验证所述命令。所述外部MCU可以至少部分地执行回环机制。所述显示部件可以在医疗装置执行挑战码或命令之前显示所述挑战码或命令。
尽管以上描述的实施例使用一个或两个医疗装置,但是本发明并不限于该实施例,本发明可以具有一个或多个医疗装置或者一个或多个MCU。
遥控器
在一个实施例中,遥控器(3)是手机并且MCU(4)是包括电话运营商的所有数据和应用程序的SIM卡。另外,所述SIM卡包括与医疗装置(1、7)配对和安全通信的所有数据和应用程序。
在另一个实施例中,所述手机包括两个不同的连接部件,第一个连接部件用于插入电信运营商的SIM卡,并且另一个连接部件用于插入与医疗装置配对的MCU。
在一个实施例中,所述遥控器还用作手机和BGM或到CGM的链路。所述医疗组件包括两个不同的智能卡。第一个智能卡是电话运营商使用的SIM卡,并且第二个智能卡用于控制医疗装置。必须将这两个智能卡都插入到遥控器中以利用其全部的功能(电话、遥控器、BGM、CGM…)。但是,如果丢失所述第一个智能卡,遥控器就不能用作电话,但是它可以控制医疗装置并用作BGM。如果丢失所述第二个智能卡,遥控器不能用于控制医疗装置,但是它可以用作BGM、CGM和/或手机。如果两个智能卡都丢失了,遥控器就只能用作BGM或CGM。
在一个实施例中,所述遥控器包括只显示安全信息(例如:挑战码、PIN)的第二显示部件。
为了提高安全性,所述遥控器(3)可以包括验证平台和/或完整性测试。
完整性测试
在一个实施例中,所述医疗装置(1、7)和/或所述MCU(4、6、8)包括诸如安全启动进程和/或安全闪存进程和/或加密机制的安全处理部件(5),其至少检查遥控器的完整性和/或管理所述医疗装置(1、7)和所述遥控器(3)之间的数据的安全通信。
因此,所述MCU(4、6、8)可用于确保遥控器(3)的完整性,例如但不限于它的操作系统和/或主机操作系统(hOs)和/或应用程序…。确保这种完整性的典型方法是使用安全启动或安全闪存,其是在遥控器(3)的启动期间或监视系统的定期间隔执行完整性检查的功能。
例如,使用安全启动进程的实施例:为了确保遥控器(3)上运行的软件没有由于意外(硬件故障)或故意(攻击、恶意软件)的原因而被修改,使用了安全启动机制。当打开遥控器(3)时,由其处理器执行的第一代码是将会计算遥控器(3)的内部存储器(闪存)的签名内容并验证签名的有效性的例程。一旦签名被验证为有效,处理器就继续其正常的操作系统启动程序。否则,系统不会启动。需要重点指出的是,可以利用MCU(4、4a、4b、4c、6、8)执行对签名的验证,这确保了没有秘密(密钥)被泄露。
另一个例子是使用安全闪存进程的实施例:我们希望允许用户利用较新版本的遥控器操作系统(可以从医疗服务器下载)的优点。相似地,为了防止利用未授权的软件升级遥控器(3)的软件,必须对要写入的新软件签名。当以更新模式启动遥控器(3)时(例如,长按电源键),处理器首先执行下述例程:下载新软件的图像,在覆盖现有的软件之前,计算其签名并对其进行验证。再次,需要重点指出的是,可以利用MCU(4、6、8)执行对签名的验证,这确保了没有秘密(密钥)被泄露。
因此,可以由MCU检查遥控器的完整性,所述MCU在其存储器中保密地存储了如操作系统和/或应用程序的签名(例如,散列)的密钥信息。
在一个实施例中,如果完整性测试成功,就建立通信。如果不成功,MCU就会启动进程来向患者和/或泵发出通知:操作系统或应用程序被破坏。所述MCU或所述医疗装置可以在显示装置上显示错误信息或通过其他部件(声音、振动…)发出通知。
使用主机操作系统(hOS)
在一个实施例中,遥控器(3)使用移动虚拟化平台可以将遥控器(3)(例如,智能电话)划分为受控环境(例如,用于控制医疗装置(1、7))和非受控环境(例如,通用的任务)。可以通过虚拟机应用程序定义该虚拟化平台。
下面描述的架构是根据本发明的虚拟化平台的非限制性例子(参见图1):
·主机操作系统(OS)将硬件部件模拟为一个或多个客户操作系统(图1只示出了2个客户操作系统)。
·一个客户操作系统在非受控环境中处理通用任务(例如:日历、联系人、网页浏览、电话通讯、娱乐等)。
·一个客户操作系统在受控环境中处理与医疗装置的交互。
有利的是,当集成某些高级操作进程时,主机操作系统尽可能的薄并且主机操作系统是最低级的操作系统架构。主机操作系统不是简单的系统管理程序。事实上,主机操作系统进一步包括不同的安全任务和控制任务。因此,主机操作系统对活动进行管理、协调,共享遥控器的资源,并决定拒绝和/或允许运行应用程序和/或使用驱动器和/或遥控器(3)的外围设备。通过这种方式提高安全性,这是因为恶意软件不能访问任何驱动器和/或外围设备,例如但不限于如上文描述的MCU。
因此,通过使用该架构,受控环境总是具有完全的控制遥控器,以防止任何恶意应用程序截取或修改或生成与医疗装置交换的命令/信息。这种恶意应用程序的典型动作是将会窃取用户的PIN码以模拟输注的程序。
在一个实施例中,该受控环境是经过认证的并且通过如上所述的MCU检查了它的完整性。每次启动遥控器时都通过所述MCU进行安全检查,所述MCU应当确认完整性并对hOs进行认证,可选地,对mOS进行认证。
除了该结构之外,可以执行特定的监视程序以检查受控环境中运行的全部任务,其可以禁用不在特定的授权应用程序列表内的任何应用程序。还可以通过所述MCU控制该特定监视。所述监视器还能够测量应用程序的运行时间,并通过触发警报指示用户任何可疑的超载活动。
在一个实施例中,所述hOS包含在所述MCU中,和/或由所述MCU启动和/或运行所述hOS。
在一个实施例中,所述mOS包含在所述MCU中,和/或由所述MCU启动和/或运行所述mOS。
在一个实施例中,所述mOS和/或所述hOS和/或系统管理程序包含在所述MCU中。当将所述MCU插入到所述遥控器中时,包含所述mOS和/或hOS和/或虚拟机的所述MCU安装到所述遥控器。
在一个实施例中,可以通过使用如LED的视觉指示器和/或音频指示器和/或其他指示器(例如,振动器)来指示受控环境中的处理,这将指示用户当前应用程序是在受控还是非受控环境中运行。例如,我们可以设想,当当前的应用程序在受控环境中时打开绿色LED,并且当用于运行的程序不在受控环境中时关闭该绿色LED。我们还可以具有“相反”使用的情况,其中,当用户处于受控环境中时关闭LED,并且当用户返回到非受控环境中时LED变为红色。
在另一个实施例中,hOS可以为在受控环境中运行的应用程序保留部分屏幕。通过这种方式,只有mOS能够在该空间显示某些内容,而在非受控环境中运行的应用程序或其他gOS不能使用该空间。
因此,用户知道mOS的应用程序是否在运行。事实上,如果所述指示器不能正确的通知用户,那么其肯定是试图控制医疗装置或试图误导用户的恶意应用程序。
在一个实施例中,MCU包括当mOS运行时可以运行的应用程序和/或软件列表。在一个实施例中,具有或不具有MCU,PIN码都允许启动mOS和/或医疗装置。
医疗组件的其他可选的特征
在另一个实施例中,医疗装置包括至少一个可以测量患者的生理特性的传感器、用于实时地识别由所述传感器监视的首要症状的诊断部件以及在所述诊断装置检测到所述首要症状的情况下向用户报警的报警部件。通过这种方式,可以由遥控器监视医疗装置并向用户发出警报。
在一个实施例中,遥控器包括GPS,如果发出警报,所述GPS就对用户进行定位。所述医疗组件可以启动遥控器中的应用程序以定位患者并将所述定位发送给医疗中心,或者在所述诊断部件检测到所述首要症状和/或如果患者行动不便的情况下,将所述定位发送给其他人。此外,所述医疗组件可以启动遥控器中的应用程序以将生理特性数据发送给医疗中心,或者在所述诊断部件检测到所述首要症状或/和患者行动不便的情况下,将所述生理特性数据发送给其他人。
本发明当然不限于前面所讨论的示出的实施例。
Claims (30)
1.一种以安全和无线的方式通信的无线网络节点,所述无线网络节点包括:
第一节点(1、7);
第二节点(3);和
安全令牌(4、6、8),
其中,所述第一节点包括:
医疗装置,
经由无线网络与第二节点通信的通信部件,和
存储器;
其中,所述第二节点(3)包括:
经过无线网络与第一节点通信的通信部件,
与安全令牌物理连接的第一连接端口,
数据输入装置,以及
可操作地连接至通信端口、连接端口和数据输入装置的处理器,
其中,安全令牌包括:
第二连接端口,该第二连接端口物理连接至所述第二节点的第一连接端口,
存储密钥信息的存储器,
可操作地连接至第二连接端口和安全令牌的存储器的处理器;
其中,安全令牌的处理器包括密钥生成器以生成至少一个密钥信息以使无线通信安全,所述至少一个密钥信息存储在安全令牌的存储器的不能被第二节点访问的安全部分中;
其中,第一节点的存储器存储密钥生成器生成的至少一个密钥信息。
2.根据权利要求1所述的无线网络节点,其中,至少一个密钥信息包括用于使第一节点和第二节点配对的配对数据。
3.根据权利要求2所述的无线网络节点,其中,配对数据包括所述至少一个医疗节点(1、7)的地址、至少部分链路密钥、至少部分长期密钥和至少部分短期密钥中的至少一种。
4.根据权利要求2所述的无线网络节点,其中,配对数据存储在所述安全令牌(4、6、8)的存储器(10)的一部分中,所述安全令牌(4、6、8)能够由第二节点(3)读取。
5.根据权利要求1所述的无线网络节点,其中,至少一个密钥信息包括加密密钥。
6.根据权利要求5所述的无线网络节点,其中,加密密钥包括非对称密钥和对称密钥中的至少一种。
7.根据权利要求5所述的无线网络节点,其中,所述安全令牌(4、6、8)的存储器(10)包括私钥,并且所述第一节点(1、7)的存储器包括相关的公钥。
8.根据权利要求5所述的无线网络节点,其中,所述第一节点(1、7)的存储器包括私钥,并且所述安全令牌(4、6、8)的存储器(10)包括相关的公钥。
9.根据权利要求1所述的无线网络节点,其包括配对装置(16),该配对装置(16)允许通过有线传输将所述安全令牌生成的密钥信息的至少一部分传输到第一节点(1、7)。
10.根据权利要求1所述的无线网络节点,其中,所述第二节点(3)包括加密引擎。
11.根据权利要求1所述的无线网络节点,其中,所述第二节点(3)包括手机、光遥控器和BGM中的至少一种或者到CGM的链路。
12.根据权利要求1所述的无线网络节点,其中,所述第二节点(3)包括用于监视用户的血糖和/或身体活动的传感器部件。
13.根据权利要求1所述的无线网络节点,其中,所述医疗装置是输送装置、医疗服务器、可移植装置、采样装置和/或传感器装置。
14.根据权利要求1所述的无线网络节点,其中,所述安全令牌(4、6、8)是智能卡、SIM卡、SD卡、内部或外部软件狗。
15.根据权利要求14所述的无线网络节点,其中,所述SD卡是SDIO卡。
16.根据权利要求1所述的无线网络节点,其中,至少一个密钥信息是在特定的时间点能或者不能在令牌(4、6、8)中和/或所述第二节点(3)中运行的应用程序和/或软件的列表。
17.根据权利要求1所述的无线网络节点,其中至少一个密钥信息是用于至少在启动期间检查应用程序和/或操作系统和/或升级版本的医疗应用程序的完整性的数据。
18.根据权利要求1所述的无线网络节点,其中,所述第二节点(3)使用虚拟化平台,所述虚拟化平台包括:
主机操作系统hOS,其模拟用于少一个客户操作系统gOS的硬件部件,
第一gOS,其处理共用功能,所有的这些共用功能被设计为在非受控环境中使用,
医疗操作系统mOS,其处理用于第一节点(1、7)的第二节点(3)功能,所有的这些第二节点(3)功能被设计为在受控环境中使用。
19.根据权利要求18所述的无线网络节点,其中,所述共用功能包括日历或联系人。
20.根据权利要求18所述的无线网络节点,其中,至少一个密钥信息用于检查hOS和/或mOS和/或gOS的完整性。
21.根据权利要求1所述的无线网络节点,其中,至少一个密钥信息是所述第一节点的地址。
22.根据权利要求1所述的无线网络节点,其中,至少一个密钥信息是将安装到所述第二节点(3)中的应用程序和/或特定操作系统。
23.根据权利要求1所述的无线网络节点,其中,至少一个密钥信息是患者的标识符和/或身体特征。
24.根据权利要求1所述的无线网络节点,其中,所述安全令牌(4、6、8)是外部软件狗。
25.根据权利要求1所述的无线网络节点,其中,所述安全令牌(4、6、8)包括输入部件、显示部件、活动传感器、指纹识别器、无线通信部件或血糖计。
26.根据权利要求1所述的无线网络节点,其中,第一节点(1、7)包括用于加密和/或解密所述加密数据的加密部件。
27.根据权利要求1所述的无线网络节点,其中,安全令牌的存储器存储第一节点发送的至少一组数据。
28.根据权利要求1所述的无线网络节点,其中,至少一个密钥信息是用于解密第一节点发送的一组数据的密钥。
29.根据权利要求1所述的无线网络节点,其中,第一节点还包括用于计算会话密钥的密钥生成器,所述会话密钥用于使无线会话通信安全。
30.一种以安全和无线的方式通信的无线网络节点,所述无线网络节点包括:
第一节点(1、7);
第二节点(3);和
安全令牌(4、6、8),
其中,所述第一节点包括:
医疗装置,
经由无线网络与第二节点通信的通信部件,和
存储器;
其中,所述第二节点(3)包括:
经过无线网络与第一节点通信的通信部件,
与安全令牌物理连接的第一连接端口,
数据输入装置,以及
可操作地连接至通信端口、连接端口和数据输入装置的处理器,其中,安全令牌包括:
第二连接端口,该第二连接端口物理连接至所述第二节点的第一连接端口,
存储器,
可操作地连接至第二连接端口和安全令牌的存储器的处理器;
其中,第一密钥信息存储在安全令牌的存储器的不能由第二节点访问的安全部分中,并且,第二密钥信息存储在安全令牌的存储器的能够由第二节点读取的部分中;
其中,第一节点的存储器存储第一密钥信息和与第一密钥信息相关的密钥中的至少一种;
其中,安全令牌或第一节点包括用于生成至少一个密钥信息的密钥生成器。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP12175498 | 2012-07-09 | ||
| EP12175498.0 | 2012-07-09 | ||
| PCT/IB2013/055626 WO2014009876A2 (en) | 2012-07-09 | 2013-07-09 | Communication secured between a medical device and its remote device |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104641375A CN104641375A (zh) | 2015-05-20 |
| CN104641375B true CN104641375B (zh) | 2018-01-02 |
Family
ID=49117912
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201380036557.4A Expired - Fee Related CN104641375B (zh) | 2012-07-09 | 2013-07-09 | 在医疗装置及其远程装置之间安全的通信 |
Country Status (8)
| Country | Link |
|---|---|
| US (1) | US20150207626A1 (zh) |
| EP (1) | EP2870556A2 (zh) |
| JP (1) | JP6437433B2 (zh) |
| CN (1) | CN104641375B (zh) |
| AU (1) | AU2013288269B2 (zh) |
| CA (1) | CA2878363A1 (zh) |
| IN (1) | IN2015DN00854A (zh) |
| WO (1) | WO2014009876A2 (zh) |
Families Citing this family (71)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10089443B2 (en) | 2012-05-15 | 2018-10-02 | Baxter International Inc. | Home medical device systems and methods for therapy prescription and tracking, servicing and inventory |
| AU2011316599B2 (en) | 2010-10-12 | 2018-09-20 | Smith & Nephew, Inc. | Medical device |
| US9787568B2 (en) * | 2012-11-05 | 2017-10-10 | Cercacor Laboratories, Inc. | Physiological test credit method |
| CN105492035B (zh) | 2013-03-14 | 2019-06-14 | 史密夫和内修有限公司 | 用于应用减压治疗的系统和方法 |
| US9737649B2 (en) | 2013-03-14 | 2017-08-22 | Smith & Nephew, Inc. | Systems and methods for applying reduced pressure therapy |
| US9215075B1 (en) | 2013-03-15 | 2015-12-15 | Poltorak Technologies Llc | System and method for secure relayed communications from an implantable medical device |
| WO2015023515A1 (en) | 2013-08-13 | 2015-02-19 | Smith & Nephew, Inc. | Systems and methods for applying reduced pressure therapy |
| WO2015114534A1 (fr) | 2014-01-28 | 2015-08-06 | Debiotech S.A. | Dispositif de commande avec recommandation |
| US10019564B2 (en) * | 2014-03-28 | 2018-07-10 | Cryptography Research, Inc. | Authentication of a device |
| US9721409B2 (en) * | 2014-05-02 | 2017-08-01 | Qualcomm Incorporated | Biometrics for user identification in mobile health systems |
| DE202015010002U1 (de) * | 2014-05-21 | 2022-12-12 | Abbott Diabetes Care, Inc. | Management mehrerer Vorrichtungen innerhalb einer Analytüberwachungsumgebung |
| EP3167629B1 (en) * | 2014-07-07 | 2018-09-12 | Ascensia Diabetes Care Holdings AG | Methods and apparatus for improved low energy data communications |
| DE102014216887B3 (de) * | 2014-08-26 | 2015-11-05 | Siemens Aktiengesellschaft | Verfahren zur Anbindung eines mobilen Bedienterminals an ein zu bedienendes Gerät |
| US10668212B2 (en) | 2014-08-26 | 2020-06-02 | Debiotech S.A. | Detection of an infusion anomaly |
| US9680816B2 (en) * | 2014-10-14 | 2017-06-13 | Cisco Technology, Inc. | Attesting authenticity of infrastructure modules |
| WO2016059616A1 (fr) | 2014-10-17 | 2016-04-21 | Debiotech S.A. | Système sécurisé de commande de bolus |
| EP3032443A1 (en) * | 2014-12-08 | 2016-06-15 | Roche Diagnostics GmbH | Pairing of a medical apparatus with a control unit |
| JP6596091B2 (ja) * | 2014-12-18 | 2019-10-23 | アフェロ インコーポレイテッド | 物のインターネットのプラットフォーム、装置、及び方法 |
| CN104751037B (zh) * | 2015-04-10 | 2018-06-12 | 无锡海斯凯尔医学技术有限公司 | 医疗检测设备的使用控制方法、系统和医疗检测设备 |
| PL3101571T3 (pl) * | 2015-06-03 | 2018-09-28 | F. Hoffmann-La Roche Ag | System pomiarowy do mierzenia stężenia analitu za pomocą podskórnego czujnika analitu |
| US10136246B2 (en) | 2015-07-21 | 2018-11-20 | Vitanet Japan, Inc. | Selective pairing of wireless devices using shared keys |
| WO2017062042A1 (en) | 2015-10-07 | 2017-04-13 | Smith & Nephew, Inc. | Systems and methods for applying reduced pressure therapy |
| US10231123B2 (en) * | 2015-12-07 | 2019-03-12 | GM Global Technology Operations LLC | Bluetooth low energy (BLE) communication between a mobile device and a vehicle |
| WO2017096599A1 (zh) * | 2015-12-10 | 2017-06-15 | 深圳市大疆创新科技有限公司 | 安全通信系统、方法及装置 |
| US20170200324A1 (en) * | 2016-01-11 | 2017-07-13 | Blackberry Limited | Device, method and system for collecting user-based insurance data in vehicles |
| US10306472B2 (en) * | 2016-01-28 | 2019-05-28 | Cochlear Limited | Secure authorization in an implantable medical device system |
| US9980140B1 (en) * | 2016-02-11 | 2018-05-22 | Bigfoot Biomedical, Inc. | Secure communication architecture for medical devices |
| JP2017192117A (ja) * | 2016-04-15 | 2017-10-19 | 富士通株式会社 | センサ装置、情報収集システム、および情報収集方法 |
| GB201607981D0 (en) * | 2016-05-06 | 2016-06-22 | Vicentra B V | Communication handling |
| GB201607973D0 (en) * | 2016-05-06 | 2016-06-22 | Vicentra B V | Communication protocol for an electronic system |
| EP3454917B1 (en) | 2016-05-13 | 2022-04-06 | Smith & Nephew, Inc | Automatic wound coupling detection in negative pressure wound therapy systems |
| US10552138B2 (en) * | 2016-06-12 | 2020-02-04 | Intel Corporation | Technologies for secure software update using bundles and merkle signatures |
| EP4277322A3 (en) * | 2016-07-20 | 2024-01-24 | Dexcom, Inc. | System and method for wireless communication of glucose data |
| WO2018058287A1 (en) * | 2016-09-27 | 2018-04-05 | Medtrum Technologies Inc. | Delivery safety ensuring method and wearable medical system using the method |
| JP7063887B2 (ja) | 2016-09-29 | 2022-05-09 | スミス アンド ネフュー インコーポレイテッド | 陰圧創傷治療システムにおける構成要素の構築及び保護 |
| KR20180041532A (ko) * | 2016-10-14 | 2018-04-24 | 삼성전자주식회사 | 전자 장치들 간 연결 방법 및 장치 |
| US9949065B1 (en) * | 2016-12-30 | 2018-04-17 | Capital One Services, Llc | System and method for automatic bluetooth pairing |
| CN107693937B (zh) * | 2017-01-18 | 2021-04-02 | 浙江诺尔康神经电子科技股份有限公司 | 一种可穿戴式人工耳蜗系统 |
| EP3593265A1 (en) * | 2017-03-09 | 2020-01-15 | Roche Diabetes Care GmbH | Controlling user access to a medical system |
| USD853583S1 (en) | 2017-03-29 | 2019-07-09 | Becton, Dickinson And Company | Hand-held device housing |
| US10623188B2 (en) * | 2017-04-26 | 2020-04-14 | Fresenius Medical Care Holdings, Inc. | Securely distributing medical prescriptions |
| EP3614909B1 (en) | 2017-04-28 | 2024-04-03 | Masimo Corporation | Spot check measurement system |
| US10621365B1 (en) * | 2017-05-22 | 2020-04-14 | Architecture Technology Corporation | Obfuscation for high-performance computing systems |
| US11712508B2 (en) | 2017-07-10 | 2023-08-01 | Smith & Nephew, Inc. | Systems and methods for directly interacting with communications module of wound therapy apparatus |
| US11153076B2 (en) * | 2017-07-17 | 2021-10-19 | Thirdwayv, Inc. | Secure communication for medical devices |
| WO2019018516A1 (en) * | 2017-07-18 | 2019-01-24 | Becton, Dickinson And Company | ADMINISTRATION SYSTEM, DELIVERY DEVICE, AND NOTIFICATION DEVICE FOR COMMUNICATING THE STATUS OF A MEDICAL DEVICE |
| US20190122757A1 (en) * | 2017-10-22 | 2019-04-25 | Rui Lin | Method and device for software-defined therapy |
| US20190372977A1 (en) * | 2018-05-30 | 2019-12-05 | Indoor Robotics Ltd. | System and a method for granting ad-hoc access and controlling privileges to physical devices |
| US11642183B2 (en) * | 2018-06-06 | 2023-05-09 | Verily Life Sciences Llc | Systems and methods for fleet management of robotic surgical systems |
| CN109413643A (zh) * | 2018-10-10 | 2019-03-01 | 湖北三好电子有限公司 | 无线医疗网关装置及系统 |
| GB201820668D0 (en) | 2018-12-19 | 2019-01-30 | Smith & Nephew Inc | Systems and methods for delivering prescribed wound therapy |
| WO2020129008A1 (fr) | 2018-12-21 | 2020-06-25 | Debiotech S.A. | Dispositif médical sécurisé |
| US11387983B2 (en) * | 2019-03-25 | 2022-07-12 | Micron Technology, Inc. | Secure medical apparatus communication |
| EP3716567A1 (de) * | 2019-03-28 | 2020-09-30 | Tecpharma Licensing AG | Sichere kommunikationsverbindung zwischen medizinischen geräten einer datenmanagementvorrichtung |
| US11122079B1 (en) | 2019-04-08 | 2021-09-14 | Architecture Technology Corporation | Obfuscation for high-performance computing systems |
| US20200382950A1 (en) * | 2019-05-31 | 2020-12-03 | Apple Inc. | Temporary pairing for wireless devices |
| US11957876B2 (en) | 2019-07-16 | 2024-04-16 | Beta Bionics, Inc. | Glucose control system with automated backup therapy protocol generation |
| EP4000075A4 (en) | 2019-07-16 | 2023-10-04 | Beta Bionics, Inc. | BLOOD GLUCOSE CONTROL SYSTEM |
| US20210044966A1 (en) * | 2019-08-06 | 2021-02-11 | Eagle Technology, Llc | Wireless communication system with accessory device pair and related devices and methods |
| EP3809733A1 (en) * | 2019-10-17 | 2021-04-21 | TRUMPF Medizin Systeme GmbH + Co. KG | System comprising a medical apparatus and a remote control device, method for pairing the remote control device and the medical apparatus, and method for operating the medical apparatus |
| EP4079020A1 (en) * | 2019-12-19 | 2022-10-26 | Gambro Lundia AB | A medical equipment, an authentication server and methods for authorizing a user access to an equipment via an equipment user interface |
| WO2021146902A1 (en) * | 2020-01-21 | 2021-07-29 | Medtrum Technologies Inc. | Medical device with safety verification and safety verification method thereof |
| JP2023514708A (ja) * | 2020-02-20 | 2023-04-07 | デックスコム・インコーポレーテッド | 人工膵臓における機械学習 |
| BR112022017441A2 (pt) | 2020-03-24 | 2022-10-18 | Baxter Int | Módulo de comunicação digital para transmissão de dados a partir de um dispositivo médico |
| CN112650091B (zh) * | 2020-09-25 | 2022-03-04 | 恒烁半导体(合肥)股份有限公司 | 一种mcu芯片接口电路 |
| US20210012893A1 (en) * | 2020-09-28 | 2021-01-14 | Uih America, Inc. | Systems and methods for device control |
| US20220157455A1 (en) * | 2020-11-17 | 2022-05-19 | The Regents Of The University Of California | Device-insulated monitoring of patient condition |
| US20220188388A1 (en) | 2020-12-07 | 2022-06-16 | Beta Bionics, Inc. | Ambulatory medicament pump with safe access control |
| CN114679293A (zh) * | 2021-06-15 | 2022-06-28 | 腾讯云计算(北京)有限责任公司 | 基于零信任安全的访问控制方法、设备及存储介质 |
| CN114172733B (zh) * | 2021-12-10 | 2024-04-05 | 中科计算技术西部研究院 | 基于插拔式加密终端的医疗样本数据加密传输方法 |
| CN115844351B (zh) * | 2022-12-01 | 2023-07-04 | 来邦科技股份公司 | 基于物联网技术的具有数据采集传输功能的医疗护理系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1659821A (zh) * | 2002-06-12 | 2005-08-24 | 纳格拉卡德股份有限公司 | 在两个装置之间交换安全数据的方法 |
| CN1237803C (zh) * | 2001-07-30 | 2006-01-18 | Scm微系统有限公司 | 传输机密数据的方法 |
Family Cites Families (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5602917A (en) * | 1994-12-30 | 1997-02-11 | Lucent Technologies Inc. | Method for secure session key generation |
| US20020103675A1 (en) * | 1999-11-29 | 2002-08-01 | John Vanelli | Apparatus and method for providing consolidated medical information |
| GB0020416D0 (en) * | 2000-08-18 | 2000-10-04 | Hewlett Packard Co | Trusted system |
| JP2003023433A (ja) * | 2001-07-09 | 2003-01-24 | Sony Corp | 無線伝送システム、無線伝送装置、無線伝送装置認証方法、および認証プログラム |
| FI111434B (fi) * | 2001-10-10 | 2003-07-15 | Nokia Corp | Menetelmä valmistajakohtaisten tietojen esittämiseksi SIM-kortilla |
| JP2007524312A (ja) * | 2004-02-26 | 2007-08-23 | ノボ・ノルデイスク・エー/エス | 無線通信デバイスの安全なペアリングのための方法及びシステム |
| US7831828B2 (en) | 2004-03-15 | 2010-11-09 | Cardiac Pacemakers, Inc. | System and method for securely authenticating a data exchange session with an implantable medical device |
| US9173992B2 (en) * | 2006-03-13 | 2015-11-03 | Novo Nordisk A/S | Secure pairing of electronic devices using dual means of communication |
| JP2010507928A (ja) * | 2006-08-18 | 2010-03-11 | メドトロニック,インコーポレイテッド | セキュアテレメトリックリンク |
| US7930543B2 (en) | 2006-08-18 | 2011-04-19 | Medtronic, Inc. | Secure telemetric link |
| US20080119705A1 (en) * | 2006-11-17 | 2008-05-22 | Medtronic Minimed, Inc. | Systems and Methods for Diabetes Management Using Consumer Electronic Devices |
| EP2101871B1 (en) * | 2006-12-06 | 2015-05-27 | Medtronic, Inc. | Programming a medical device with a general purpose instrument |
| WO2008069829A1 (en) * | 2006-12-06 | 2008-06-12 | Medtronic, Inc. | Intelligent discovery of medical devices by a programming system |
| FR2910266B1 (fr) * | 2006-12-21 | 2009-03-06 | Trixell Sas Soc Par Actions Si | Systeme radiologique numerique et procede de mise en oeuvre du systeme radiologique |
| US8768251B2 (en) * | 2007-05-17 | 2014-07-01 | Abbott Medical Optics Inc. | Exclusive pairing technique for Bluetooth compliant medical devices |
| US8515547B2 (en) * | 2007-08-31 | 2013-08-20 | Cardiac Pacemakers, Inc. | Wireless patient communicator for use in a life critical network |
| US8627079B2 (en) * | 2007-11-01 | 2014-01-07 | Infineon Technologies Ag | Method and system for controlling a device |
| JP2009124429A (ja) * | 2007-11-14 | 2009-06-04 | Panasonic Corp | 通信システム、通信端末装置、及びデータ転送方法 |
| GB0809045D0 (en) * | 2008-05-19 | 2008-06-25 | Qinetiq Ltd | Quantum key distribution involving moveable key device |
| US8316400B1 (en) * | 2008-07-03 | 2012-11-20 | Prime Research Alliance E., Inc. | Method and system for transfer of subscription media |
| US20100045425A1 (en) | 2008-08-21 | 2010-02-25 | Chivallier M Laurent | data transmission of sensors |
| US8879994B2 (en) * | 2009-10-02 | 2014-11-04 | Blackberry Limited | Methods and devices for facilitating Bluetooth pairing using a camera as a barcode scanner |
| US8341710B2 (en) * | 2009-12-14 | 2012-12-25 | Verizon Patent And Licensing, Inc. | Ubiquitous webtoken |
| US20130141438A1 (en) * | 2010-06-25 | 2013-06-06 | Debiotech S.A. | System for inputting and displaying data |
-
2013
- 2013-07-09 IN IN854DEN2015 patent/IN2015DN00854A/en unknown
- 2013-07-09 CA CA2878363A patent/CA2878363A1/en not_active Abandoned
- 2013-07-09 WO PCT/IB2013/055626 patent/WO2014009876A2/en active Application Filing
- 2013-07-09 CN CN201380036557.4A patent/CN104641375B/zh not_active Expired - Fee Related
- 2013-07-09 EP EP13759018.8A patent/EP2870556A2/en not_active Withdrawn
- 2013-07-09 JP JP2015521119A patent/JP6437433B2/ja not_active Expired - Fee Related
- 2013-07-09 US US14/413,857 patent/US20150207626A1/en not_active Abandoned
- 2013-07-09 AU AU2013288269A patent/AU2013288269B2/en not_active Ceased
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1237803C (zh) * | 2001-07-30 | 2006-01-18 | Scm微系统有限公司 | 传输机密数据的方法 |
| CN1659821A (zh) * | 2002-06-12 | 2005-08-24 | 纳格拉卡德股份有限公司 | 在两个装置之间交换安全数据的方法 |
Non-Patent Citations (1)
| Title |
|---|
| Plug-n-Trust: Practical Trusted Sensing for mHealth;JM Sorber等;《International Conference on Mobile System(MobiSys 2012)》;20120629;正文第2-3小节,附图1-4 * |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2014009876A3 (en) | 2014-12-04 |
| JP2015531184A (ja) | 2015-10-29 |
| CN104641375A (zh) | 2015-05-20 |
| US20150207626A1 (en) | 2015-07-23 |
| AU2013288269B2 (en) | 2018-12-13 |
| IN2015DN00854A (zh) | 2015-06-12 |
| AU2013288269A1 (en) | 2015-02-19 |
| JP6437433B2 (ja) | 2018-12-12 |
| CA2878363A1 (en) | 2014-01-16 |
| EP2870556A2 (en) | 2015-05-13 |
| WO2014009876A2 (en) | 2014-01-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104641375B (zh) | 在医疗装置及其远程装置之间安全的通信 | |
| CN103890768B (zh) | 医疗装置和其遥控装置之间的可靠通信 | |
| US20190036688A1 (en) | Secure communication for medical devices | |
| CN103748831B (zh) | 机对机通信中基于puf的装置间的安全认证装置及方法 | |
| CN106603484A (zh) | 虚拟钥匙方法及应用该方法的装置、后台系统、用户终端 | |
| CN105939196B (zh) | 身份认证方法和系统 | |
| US20050223222A1 (en) | Systems and methods for preserving confidentiality of sensitive information in a point-of-care communications environment | |
| CN106059757A (zh) | 视音频监控设备及其数据加解密方法、视音频展示设备 | |
| CN106027250B (zh) | 一种身份证信息安全传输方法及系统 | |
| CN107404472A (zh) | 用户发起的加密密钥的迁移 | |
| CN106411830A (zh) | 防止访问数据被篡改的方法及移动终端 | |
| CN106033625A (zh) | 锁具、移动终端、锁具控制方法及锁具控制系统 | |
| CN108200037A (zh) | 一种利用安全设备执行安全操作的方法及系统 | |
| CN107886148A (zh) | 一种u盘的管理系统及方法 | |
| WO2013102152A1 (en) | Secure mechanisms to enable mobile device communication with a security panel | |
| CN107566112A (zh) | 动态加解密方法及服务器 | |
| CN109841273A (zh) | 一种医疗诊断软件的一站式整合方法及装置 | |
| CN107026735A (zh) | 一种密码自动输入的方法及被管理设备 | |
| CN112425116A (zh) | 一种智能门锁无线通信方法、智能门锁、网关及通信设备 | |
| US10536453B2 (en) | Method and arrangement for authorizing an action on a self-service system | |
| CN112530053A (zh) | 智能锁的控制方法、系统、锁设备、服务器及存储介质 | |
| CN107026734A (zh) | 一种利用认证持续有效性进行密码管理的方法及系统 | |
| CN108322907B (zh) | 一种开卡方法及终端 | |
| JPH1079732A (ja) | ネットワークセキュリティシステムおよびネットワークセキュリティ方法 | |
| CN107026817A (zh) | 一种密码自动输入的系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20180102 Termination date: 20200709 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |